domingo, 26 de marzo de 2017

I am the admin and I am the fucking Boss [III de III]

En esta entrada final de I am the admin and I am the fucking B0ss, comentaré algunas opciones que se podrían seguir para evitar este "fallo". Como me gusta a mí, comentaré cómo solucionarlo de la manera más sencilla posible y sin tener que descargarse nada, ni saber mucho sobre Informática, para que así, lo pueda hacer todo el mundo.


Si esto ocurre es porque cada miembro del grupo Voluntarios, era Administrador, y a un administrador, poco no le permiten hacer.


Si lo recordáis, llegados a este punto, podíamos pulsar en "ficha de seguridad" e ir haciendo cambios en los permisos hasta que nos dejase entrar.


Y por supuesto, se dará control total sobre esa carpeta. Para evitar esto, hay muchas opciones, comentaré las más básicas.

Quitar a este usuario como Administrador

Con esta opción, debería bastar, pues si el usuario, por ejemplo, "Voluntario1" no es Administrador, por mucho que llegue al paso anterior de darse todos los permisos, no podrá realizar dichos cambios en el sistema, ya que no es adinistrador.



La captura anterior hace referencia al usuario Voluntario1, después de que se le haya eliminado del grupo Administradores. Lo que ha hecho el usuario es entrar en la carpeta Administración, ver que le deniega el permiso, pulsar en ficha técnica y seguir los pasos hasta llegar al punto de cambiar los permisos y darse control total como podemos ver. Lo importante aquí es que aún no se ha pulsado en el botón Aplicar para que dichos cambios se apliquen. Si el usuario Voluntario1 intentase aplicar los cambios, le saldría algo como lo siguiente.


Sale que no le permite el acceso a la tarea de cambiar los permisos, con lo cual, por más que lo intente, no podrá cabiar los permisos, y por tanto, entrar a la carpeta Administración.


Por más que pulse en continuar y después aceptar, no se le va a permitir aplicar los cambios y los perisos seguirán exactamente igual.


Y por supuesto, si intentase entrar en la carpeta, le aparecería error ya que se le han denegado los permisos.

Si eres Admin, controla su cuenta

Esta opción es "algo más avanzada" y "algo más complicada", pero por el hecho de que usaré comandos, pero que igualmente se puede hacer desde la MMC sin problemas. Pero esta parte es para los administradores de sistemas que prefieren comandos antes que interfaz gráfica.


Se ha creado un usuario que se llama Doraemon con la contraseña nobita. Posteriormente se le dirá als istema que ese usuario, Doraemon, no pueda cambiar la contraseña.

¿Para qué hacemos esto? Básicamente, para que si el usuario Doraemon decide cambiar su contraseña y que así, no podamos entrar en su cuenta corporativa; no pueda y nosotros sigamos sabiendo la contraseña que usa este usuario. Esto nos puede servir para entrar cada día al final de la jornada y saber si ha realizado algún cambio en el sistema y borrarlo.

Vamos ahora a entrar dentro del usuario Doraemon y trataremos de cambiar la contraseña para comprobar que los cambios que hemos aplicado de que no pueda cambiar la contraseña, se ha aplicado correctamente.


Como vemos, no le permite a este usuario cambiar la contraseña, lo que nos hace ver que hemos hecho las configuraciones bien.


Vamos también a prohibirle que se apropie de archivos. Esto será útil para que no se haga propietario de ninguna carpeta y, por tanto, cambie los permisos.

MORALEJA: CUIDADO CON LOS ADMINISTRADORES

Por supuesto, se debe tener cuidado con a quién se hace Administrador en tus sistemas, pues tendrá acceso a todo. Una muestra de ello es que si analizamos a Windows, sabemos que la primera norma de los permisos es que si algo se deniega, se para de leer. Vamos a comprobar qué ocurriría si a este último usuario, lo dejamos como estaba por defecto, pero solamente con que no pueda cambiar la contraseña, vamos a probar a ver si a este usuario si lo hacemos administrador y le denegamos todos los permisos si tiene alguna limitación o no.


Hacemos que Doraemon pertenezca al grupo Administradores y aplicamos los cambios.


Crearemos la carpeta "Eres Admin pero no puedes entrar" y como veis el usuario Doraemon tiene los permisos denegados, no tiene control de nada sobre esta carpeta y, en teoría, debería de denegarme el acceso sin pararse a leer mucho más de lo que exista.


Si vamos a la raíz, vemos que existe la carpeta, una carpeta a la que no tenemos permiso para entrar.


A continuación, trataremos de entrar en la ficha de seguridad y ver si nos permite cambiar los permisos. Os doy una pista, sí.


Y efectivamente, nos deja aplicar los cambios por el simple hecho de somos administradores. Asi que ya sabéis que debéis escoger muy bien a los administradores de vuestros sistemas, ya que tendrán permisos para hacer todo o casi todo lo que quieran. Siguiendo los pasos anteriores se pueden evitar muchos problemas, aunque siempre existirá, al menos, un administrador que podrá hacerlo todo.

¿Hackeamos el Mundo?

*********************************************************************************

*********************************************************************************

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...